РОЗДІЛ 10.
Безпека інформаційних систем
10.1. Безпека ІС
10.2. Фізичний захист інформаційних систем
10.3. Аудит інформаційних систем
10.4. Етичні аспекти використання ІС.
10.5. Комп’ютерна злочинність
10.1. Безпека іс
Щоб розробити систему захисту, необхідно, перш за все, визначити, що таке "загроза безпеці інформації", виявити можливі канали витоку інформації та шляхи несанкціонованого доступу до захищуваних даними/
Під "загрозою безпеки інформації" розуміють дію або подію, що може призвести до руйнування, спотворення чи несанкціонованого використання інформаційних ресурсів, включаючи збережену, передану і оброблювану інформацію, а також програмні і оброблювані кошти.
Під "несанкціонованим доступом" розуміється порушення встановлених правил розмежування доступу, що послідувало в результаті випадкових чи навмисних дій користувачів або інших суб'єктів системи розмежування, що є складовою частиною системи захисту інформації. З точки зору захисту інформації несанкціонований доступ може мати такі наслідки: витік оброблюваної конфіденційної інформації, а також її спотворення або руйнування в результаті навмисного руйнування працездатності системи.
Під "каналом несанкціонованого доступу" до інформації розуміється послідовність дій осіб та виконуваних ними технологічних процедур, які або виконуються несанкціоновано, або обробляються неправильно в результаті помилок персоналу або збою обладнання, що призводять до несанкціонованого доступу. Для забезпечення захисту даних, що зберігаються використовується кілька методів та механізмів їх реалізації. Виділяють наступні способи захисту:
• фізичні (перешкода);
• законодавчі;
• управління доступом;
• криптографічне закриття.
Фізичні способи захисту засновані на створенні фізичних перешкод для зловмисника, перегороджують йому шлях до інформації, що захищається (сувора система пропуску на територію і в приміщення з апаратурою або з носіями інформації). Ці способи дають захист тільки від "зовнішніх" зловмисників і не захищають інформацію від тих осіб, які володіють правом входу в приміщення.
Законодавчі засоби захисту становлять законодавчі акти, які регламентують правила використання і обробки інформації обмеженого доступу і встановлюють міри відповідальності за порушення цих правил.
Управління доступом представляє спосіб захисту інформації шляхом регулювання доступу до всіх ресурсів системи (технічним, програмним, елементам баз даних). Управління доступом передбачає наступні функції захисту:
• ідентифікацію користувачів, персоналу і ресурсів системи (привласнення кожному об'єкту персонального ідентифікатора: імені, коду, пароля і т. п.);
• аутентифікацію - впізнання (встановлення достовірності) об'єкта або суб'єкта по висунутій їм ідентифікатору;
• авторизацію - перевірку повноважень (перевірка відповідності дня тижня, часу доби, запрошуваних ресурсів і процедур встановленому регламенту);
• дозвіл і створення умов роботи в межах встановленого регламенту;
• реєстрацію (протоколювання) звернень до ресурсів, що захищаються;
• реагування (сигналізація, відключення, затримка робіт, відмова у запиті) при спробах несанкціонованих дій.
Для реалізації заходів безпеки використовуються різні способи шифрування (криптографії), суть яких полягає в тому, що відомості, що надсилаються на зберігання, або повідомлення, готові для передачі, зашифровуються і тим самим перетворюються в шифрограму або закритий текст. Санкціонований користувач отримує дані або повідомлення, дешифрує їх або розкриває за допомогою зворотного перетворення криптограми, в результаті чого виходить вихідний відкритий текст
Основні поняття, вимоги, методи і засоби проектування та оцінки системи інформаційної безпеки для інформаційних систем (ІС) відображені в наступних основних документах:
• "Помаранчева книга" Національного центру захисту комп'ютерів США (TCSEC);
• "Гармонізовані критерії Європейських країн (ITSEC)";
• Рекомендації X.800